Google bietet ein neues an .zip-Webdomäne für Benutzer, die den Leuten zeigen möchten, dass sie „schnell, effizient und einsatzbereit“ sind. Auf dem Papier klingt es größtenteils in Ordnung, aber aufgrund der Ähnlichkeiten zwischen dieser Domain und einem beliebten ZIP-Dateiformat gibt es Bedenken, dass dies eine der einfachsten Möglichkeiten sein könnte, Internetbesucher zum Herunterladen zwielichtiger Dateien zu verleiten.
Sie können sehen, warum es Bedenken hinsichtlich der neuen Top-Level-Domain (TLD) .zip gibt. Angenommen, Sie möchten die CPU-Z-Software herunterladen, würden Sie erwarten, dass Sie auf der CPUID-Website unter der URL landen: www.cpuid.com/downloads/cpu-z/cpu-z.2.05-en.zip.
Was Googles neue .zip-TLD zulässt, sind Links, die sehr ähnlich aussehen, aber unglaublich gefährliche Duplikate sind. Zum Beispiel, und dieser Link führt nirgendwo hin, aber es besteht immer noch keine Notwendigkeit, ihn auszuprobieren: www.cpuid.com/downloads/cpu-z∕@cpu-z.2.05-en.zip.
Den meisten Web-affinen Benutzern wird dort wahrscheinlich das betrügerische @ auffallen und sie sollten es sich zweimal überlegen, bevor sie auf diese URL klicken. Möglicherweise bemerken Sie jedoch nicht das Unicode-Zeichen U+2215, das sich als Schrägstrich ausgibt. Frech.
Wie der Sicherheitsforscher Bobbyr in seinem Beitrag betont Mittlerer Blogbeitrag, ignorieren die meisten modernen Browser die Informationen vor dem @ und hören nur auf den darauf folgenden Hostnamen. Das heißt, wenn Sie hineinstecken würden https://[email protected], würden die meisten Browser Sie zu bing.com weiterleiten. Wenn Sie vor dem @ Schrägstriche in die URL einfügen würden, würde tatsächlich das Gegenteil passieren: https://google.com/[email protected] bringt Sie zu Google.
Hier kommen die Unicode-Zeichen U+2215 und U+2044 ins Spiel. Diese sehen einem Schrägstrich sehr ähnlich, sind es aber nicht. Und sie werden in Hostnamen unterstützt. Das bedeutet, dass Sie eine gefälschte URL erstellen könnten, die ziemlich echt erscheint und einen Benutzer zu einer zwielichtigen ZIP-URL weiterleiten könnte, die vorgibt, ein legitimer Download zu sein. Diese Domain könnte dann eine tatsächliche ZIP-Datei hosten, die praktisch alles enthält, einschließlich Malware.
Es ist etwas kompliziert, aber Sie können hier das potenzielle Problem erkennen, insbesondere wenn jemand nicht besonders internetaffin oder in Eile ist.
.zip-Top-Level-Domains waren ein kolossaler Fehler. pic.twitter.com/gqlEJEWLgG12. Mai 2023
Was die .zip-Domains angeht, über die ich mich beschwert habe – ich denke, dass sie dumm sind und unnötig Verwirrung stiften und verschiedenen kleineren Phishing-Angriffen/Tricks/Adressverwirrungsangriffen überlassen werden … aber es wird einfach dazu gezwungen, eine andere TLD zu sein. Es fühlt sich einfach einzigartig unnötig an.12. Mai 2023
Allerdings sind sich nicht alle einig, dass es sich hierbei um eine neue Art von Phishing-Angriffen handelt. Ein weiterer Microsoft-Mitarbeiter und der Erfinder von HaveIBeenPwnedTroy Hunt legt nahe, dass es hier keinen Grund zur Sorge gibt.
Dies ist eine interessante Lektüre bezüglich der .zip-TLD. Für Phishing-Angriffe hat es jedoch nahezu keine Auswirkungen. Lesen Sie es zuerst, dann erkläre ich es: https://t.co/RoN3L2m61o17. Mai 2023
Das Problem bei der Analyse im Blogbeitrag besteht darin, dass behauptet wird, die neue TLD könne Menschen *bei genauer Betrachtung* in die Irre führen. Welches neue Problem entsteht dadurch, das nicht bereits durch die Änderung der Domäne in eine machbar erscheint?17. Mai 2023
Hunt kommt auf das Argument zurück, dass Menschen letztendlich „schlecht in URLs sind und TLDs keine Rolle spielen“. Sie deuten darauf hin, dass die meisten Menschen keine Ahnung haben, ob die Datei wie eine ZIP-Datei aussieht oder nicht, wenn ihnen eine absichtlich irreführende Adresse angezeigt wird.
„Die meisten Menschen haben keine Ahnung, wann eine realistisch aussehende URL völlig falsch ist“, sagt Hunt.
Aber das Wichtigste ist, dass dies für Sicherheitsforscher kein so großes Problem darstellt. Sie werden es mit ziemlicher Sicherheit fangen. Das Problem sind die weniger technisch versierten Internetnutzer da draußen – .zip ist so zum Synonym für ein Dateiformat geworden, dass es unnötig verwirrend wirkt, es auch in eine Webdomain zu integrieren.
Die im Medium-Blogbeitrag dargelegten Anleitungen zur Vermeidung von .zip-Phishing-Angriffen für Benutzer sind absolut gültig. Du sollen Achten Sie auf falsche Zeichen in URLs, Domänen mit @-Symbolen gefolgt von ZIP-Dateien und seien Sie vorsichtig beim Herunterladen von Dateien, die von unbekannten Empfängern gesendet wurden.
Tatsächlich ist Letzteres wirklich der beste Rat, den es gibt, um Phishing zu vermeiden. Betrügereien, bei denen vorgetäuscht wird, dass sie von bekannten Unternehmen, Diensten oder sogar Personen stammen, die Sie kennen, gehören zu den gefährlichsten.
Ich muss Ihnen das nicht sagen, aber seien Sie immer vorsichtig, auf welche Links Sie klicken.
Googles Antwort
Google hat auf Bedenken bezüglich der .zip-Domain mit der folgenden Stellungnahme reagiert.
„Die Gefahr einer Verwechslung zwischen Domänennamen und Dateinamen ist nicht neu. Beispielsweise verwenden die Command-Produkte von 3M den Domänennamen command.com, der auch ein wichtiges Programm unter MS DOS und frühen Windows-Versionen ist. Für Anwendungen gibt es Abhilfemaßnahmen dies (z. B. Google Safe Browsing) und diese Abhilfemaßnahmen gelten auch für TLDs wie .zip. Gleichzeitig bieten neue Namespaces erweiterte Möglichkeiten für die Benennung, z. B. community.zip und url.zip. Google nimmt Phishing und Malware ernst und Google Registry verfügt über bestehende Mechanismen, um bösartige Domains in allen unseren TLDs, einschließlich .zip, zu sperren oder zu entfernen. Wir werden die Verwendung von .zip und anderen TLDs weiterhin überwachen und bei Auftreten neuer Bedrohungen geeignete Maßnahmen zum Schutz der Benutzer ergreifen.“
Machen Sie daraus, was Sie wollen. Ich bin der Meinung, dass .zip-Domains am Ende wie alle anderen sein werden und genauso gefährlich wie alle anderen, wenn sie in die falschen Hände geraten, aber ich bin immer noch nicht davon überzeugt, dass es überhaupt einen wirklich guten Grund gab, eine .zip-Domain zu erstellen .